11月29日消息��,開源文件共享應(yīng)用程序ProjectSend被曝出存在嚴(yán)重的安全漏洞,CVSS評分高達(dá)9.8分,VulnCheck調(diào)查結(jié)果顯示,這個漏洞很可能已經(jīng)被惡意利用�����。
ProjectSend允許用戶在自己的服務(wù)器上部署程序�����,以便構(gòu)建文件共享功能�����,方便與其他用戶或客戶分享文件��。
該漏洞最初在2023年5月的提交中被修復(fù),直到2024年8月r1720版本發(fā)布后才正式可用,2024年11月26日�,該漏洞被分配了CVE標(biāo)識符CVE-2024-11680�����。
VulnCheck在7月發(fā)布的報告中提到�,在ProjectSend的r1605版本中發(fā)現(xiàn)了一個不適當(dāng)?shù)氖跈?quán)檢查,允許攻擊者執(zhí)行敏感操作,最終允許在托管應(yīng)用程序的服務(wù)器上執(zhí)行任意PHP代碼�����。
如果攻擊者上傳了Web Shell則可以在分享站點的/uploads/files/找到它并執(zhí)行���,這有可能會造成服務(wù)器數(shù)據(jù)泄露或更多危害性操作���。
至于為何又要專門發(fā)布報告���,因為全網(wǎng)掃描發(fā)現(xiàn)僅1%安裝了ProjectSend的服務(wù)器更新到了r1750版�����,其他99%的機器都還在運行無法檢測到版本號的版本或者r1605版���。
VulnCheck表示�,鑒于該漏洞似乎被廣泛利用���,建議用戶盡快應(yīng)用最新的補丁程序����。
京公網(wǎng)安備 11010502041587號